EU AI Act 2024: Was mittelständische Unternehmen JETZT wissen müssen

80% der mittelständischen Unternehmen sind unzureichend auf den EU AI Act vorbereitet — gehören Sie dazu?

1. Einleitung: Die KI-Revolution und ihre Regulierung

Künstliche Intelligenz verändert die Geschäftswelt mit atemberaubendem Tempo. Was vor wenigen Jahren noch Science-Fiction war, ist heute Alltag in vielen Unternehmen: Chatbots beraten Kunden, Algorithmen analysieren Geschäftsdaten und KI-gestützte Automatisierung optimiert Prozesse. Doch mit dem rasanten Aufstieg dieser Technologien wachsen auch die Bedenken – hinsichtlich Datenschutz, Diskriminierung und gesellschaftlicher Auswirkungen.

Die Europäische Union hat reagiert: Mit dem EU AI Act wurde 2024 das weltweit erste umfassende KI-Regelwerk verabschiedet. Ein Meilenstein, der neue Spielregeln für alle Unternehmen definiert, die KI-Technologien entwickeln oder einsetzen.

„Viele Unternehmer fragen sich: Betrifft mich das überhaupt? Die überraschende Antwort ist: In den meisten Fällen ja – und zwar früher, als Sie denken“, sagt Dr. KI-Bot, unsere KI-Expertin.

Gerade für mittelständische Unternehmen stellt diese neue Regulierung eine besondere Herausforderung dar. Während Großkonzerne bereits KI-Governance-Teams aufbauen, fehlen im Mittelstand oft die Ressourcen für eine systematische Vorbereitung. Zugleich bietet die zweijährige Übergangszeit eine einmalige Chance: Wer jetzt die Weichen richtig stellt, kann nicht nur Bußgelder vermeiden, sondern auch Wettbewerbsvorteile erzielen.

Tauchen wir ein in die Welt des EU AI Act und entschlüsseln gemeinsam, was diese Regulierung für Ihr Unternehmen konkret bedeutet – und warum jetzt der richtige Zeitpunkt zum Handeln ist.

2. Regulatorische Unsicherheit und fehlende Vorbereitung im Mittelstand

Stellen Sie sich vor: Es ist Sommer 2026, die Übergangsfrist des EU AI Act ist abgelaufen. Plötzlich steht eine Aufsichtsbehörde vor Ihrer Tür und verlangt Einsicht in Ihre KI-Dokumentation. Haben Sie alle notwendigen Unterlagen? Kennen Sie die Risikoklassen Ihrer eingesetzten KI-Systeme? Können Sie nachweisen, dass Ihr KI-gestütztes Bewerberscreening keine diskriminierenden Entscheidungen trifft?

Die Realität sieht ernüchternd aus: Laut einer aktuellen Deloitte-Umfrage hat sich rund die Hälfte der deutschen Unternehmen noch kaum mit dem EU AI Act beschäftigt. Nur etwa ein Drittel fühlt sich bereits vorbereitet. Besonders besorgniserregend: Viele mittelständische Betriebe wissen nicht einmal genau, wo überall KI in ihren Prozessen steckt.

„Die meisten KMUs unterschätzen zwei entscheidende Faktoren: Erstens, wie weitreichend die Definition von KI im Gesetz gefasst ist, und zweitens, wie umfangreich die Dokumentationspflichten ausfallen können“, erklärt unsere Compliance-Expertin.

Für den Mittelstand ergeben sich dabei spezifische Herausforderungen:

Ressourcenmangel: Anders als Großunternehmen verfügen KMUs selten über dedizierte Compliance-Teams oder Data Scientists, die KI-Systeme bewerten könnten.

Abhängigkeit von Zulieferern: Viele mittelständische Unternehmen nutzen KI-Funktionen als Teil zugekaufter Software, ohne genau zu wissen, welche Algorithmen im Hintergrund laufen.

Fehlende Expertise: Die Einordnung, ob ein System überhaupt unter den AI Act fällt und welcher Risikoklasse es zuzuordnen ist, erfordert spezifisches Know-how.

Besonders kritisch ist die Situation im Healthcare-Bereich. Hier kommen vermehrt KI-Systeme zum Einsatz – von der Termin- und Ressourcenplanung bis hin zur Diagnoseunterstützung. Da medizinische Anwendungen häufig als Hochrisiko-KI eingestuft werden, müssen Unternehmen in diesem Sektor mit besonders umfangreichen Auflagen rechnen.

Die gute Nachricht: Der Gesetzgeber hat die Situation von KMUs durchaus bedacht und spezielle Erleichterungen vorgesehen. Doch um diese nutzen zu können, muss man zunächst verstehen, was der EU AI Act überhaupt regelt – und wie dringend Handlungsbedarf besteht.

3. Die Dringlichkeit zum Handeln: Warum die Zeit rennt

Haben Sie schon einmal erlebt, wie schnell zwei Jahre vergehen können? Bei der DSGVO-Einführung 2018 wurden viele Unternehmen auf dem falschen Fuß erwischt – trotz zweijähriger Vorbereitungszeit. Beim EU AI Act könnte sich diese Geschichte wiederholen.

Nach der Veröffentlichung im Juli 2024 trat das Gesetz am 1. August 2024 in Kraft. Doch hier wird es spannend: Die Anforderungen werden gestaffelt wirksam. Und manche Fristen sind näher, als viele glauben.

Die kritische Zeitlinie:

• Februar 2025: Bestimmungen zu verbotenen KI-Praktiken treten in Kraft
• August 2025: Spezielle Vorgaben für Generelle KI-Modelle werden bindend
• August 2026: Hauptpflichten für Hochrisiko-KI und Transparenzregeln werden wirksam

„Der häufigste Fehler, den wir bei Unternehmen beobachten, ist die Annahme, dass noch reichlich Zeit bleibt“, warnt unser Compliance-Berater. „In Wahrheit sind grundlegende Verbote bereits in wenigen Monaten rechtskräftig – und die Bestandsaufnahme allein kann bei komplexeren Unternehmensstrukturen mehrere Wochen dauern.“

Was bedeutet das konkret? Wenn Ihr Unternehmen etwa KI-Tools zur Emotionserkennung am Arbeitsplatz einsetzt oder subliminale Beeinflussungstechniken im Marketing nutzt, könnten diese Praktiken bereits im Februar 2025 rechtlich problematisch werden.

Die Konsequenzen bei Verstößen sind alarmierend. Der EU AI Act sieht Bußgelder vor, die sogar die DSGVO-Strafen übertreffen:

• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken
• Bis zu 15 Millionen Euro oder 3% des Umsatzes für Verstöße gegen Anforderungen für Hochrisiko-KI
• Bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes für sonstige Verstöße

Für ein mittelständisches Unternehmen mit 40 Millionen Euro Jahresumsatz könnten im schlimmsten Fall also Strafen von bis zu 2,8 Millionen Euro fällig werden – existenzbedrohende Summen.

Doch nicht nur finanzielle Sanktionen drohen. Die zuständigen Behörden können auch Vertriebsverbote aussprechen und KI-Systeme vom Markt nehmen. Stellen Sie sich vor, Ihr KI-gestütztes Kernprodukt dürfte plötzlich nicht mehr angeboten werden – welche Auswirkungen hätte das auf Ihre Geschäftsprozesse und Kundenbeziehungen?

Besonders kritisch für den Healthcare-Bereich: Hier kommen häufig Hochrisiko-KI-Systeme zum Einsatz, die bereits unter bestehenden Medizinproduktevorschriften reguliert sind. Die Verschränkung mehrerer Regulierungswerke macht die Compliance noch komplexer und zeitaufwändiger.

Es geht jedoch nicht nur um Risikominimierung. Frühe Vorbereitung schafft auch Chancen: Unternehmen, die ihre KI-Strategie frühzeitig an den EU AI Act anpassen, gewinnen Vertrauen bei Kunden und Partnern. Sie können regulatorische Compliance als Wettbewerbsvorteil nutzen – während Nachzügler in hektische Anpassungsprozesse gedrängt werden.

Die Zeit zu handeln ist jetzt. Doch was genau regelt der EU AI Act eigentlich? Im nächsten Abschnitt entschlüsseln wir die Kernelemente des Gesetzes und was sie für Ihr Unternehmen bedeuten.

Hier ist Kapitel 4, das die Lösung präsentiert, indem es den EU AI Act übersichtlich erklärt:

4. Der EU AI Act im Überblick: Was Sie wirklich verstehen müssen

Der EU AI Act ist nicht nur ein weiteres Regulierungswerk – er stellt ein völlig neues Paradigma für den Umgang mit KI-Technologien dar. Doch keine Sorge: Das Grundkonzept ist durchaus verständlich, wenn man die wesentlichen Bausteine kennt.

KI-Definition: Weiter gefasst, als Sie denken

Zunächst überrascht viele Unternehmer die breite Definition von KI im Gesetz: „Ein KI-System ist ein maschinengestütztes System, das für explizite oder implizite Ziele aus empfangenen Eingaben ableitet, wie Ausgaben zu generieren sind – etwa in Form von Vorhersagen, Inhalten, Empfehlungen oder Entscheidungen, die physische oder virtuelle Umgebungen beeinflussen können.“

Diese Definition umfasst nicht nur offensichtliche KI-Anwendungen wie ChatGPT, sondern auch:

• Algorithmen zur Kundensegmentierung
• Datenanalyse-Tools mit Prognosekomponenten
• Automatisierte Entscheidungssysteme in der Personalabteilung
• Software zur vorausschauenden Wartung

„Überprüfen Sie jeden Prozess in Ihrem Unternehmen, der aus Daten Vorhersagen oder Empfehlungen generiert – wahrscheinlich fallen mehr Systeme unter den AI Act, als Sie zunächst vermuten“, rät unsere Technologie-Expertin.

Die vier Risikoklassen: Das Herzstück des Regelwerks

Der wahre Clou des EU AI Act ist sein risikobasierter Ansatz. Statt alle KI-Anwendungen gleich zu behandeln, teilt das Gesetz sie in vier Risikoklassen ein:

1. Unannehmbares Risiko (Verbotene Praktiken) Diese KI-Anwendungen sind grundsätzlich untersagt:

• Behördliches Social Scoring (umfassende Bewertung des Verhaltens von Bürgern)
• Manipulative KI, die gezielt Schwachstellen ausnutzt (besonders bei schutzbedürftigen Gruppen)
• Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit eng begrenzten Ausnahmen)
• Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

2. Hohes Risiko Diese KI-Systeme dürfen nur unter strengen Auflagen eingesetzt werden:

• KI in kritischer Infrastruktur (Energie, Verkehr)
• KI in der Bildung oder beruflichen Ausbildung
• KI für Personalentscheidungen und Arbeitsverwaltung
• KI für Zugang zu essenziellen Diensten (Kredite, Versicherungen)
• KI in der Strafverfolgung (außer verbotene Anwendungen)
• KI im Gesundheitswesen und für medizinische Geräte

3. Begrenztes Risiko Hier gelten hauptsächlich Transparenzpflichten:

• Chatbots müssen sich als KI zu erkennen geben
• KI-generierte Inhalte müssen entsprechend gekennzeichnet werden
• Deepfakes benötigen klare Hinweise auf ihre künstliche Erstellung

4. Minimales Risiko Für KI-Anwendungen mit minimalem Risiko (Spamfilter, einfache Video-Empfehlungen, etc.) gelten keine spezifischen Pflichten, nur allgemeine Gesetze.

Diese Einstufung ist entscheidend für die Compliance-Anforderungen Ihres Unternehmens. Für Healthcare-Unternehmen besonders relevant: Medizinische KI-Anwendungen fallen fast immer in die Hochrisiko-Kategorie.

Pflichten für Hochrisiko-KI: Der Compliance-Kern

Für Hochrisiko-KI-Systeme verlangt der AI Act umfangreiche Maßnahmen:

• Ein kontinuierliches Risikomanagement über den gesamten Lebenszyklus
• Strenge Datenqualitätsanforderungen für Trainings- und Validierungsdaten
• Eine detaillierte technische Dokumentation mit Systembeschreibung und Risikobewertung
• Menschliche Aufsicht, die wirksame Überwachung und Eingriffsmöglichkeiten bietet
• Protokollierungsfunktionen für Nachvollziehbarkeit und Audits
• Transparenz gegenüber Nutzern über Leistungsfähigkeit und Grenzen

Als Krönung des Ganzen: Eine Konformitätsbewertung und CE-Kennzeichnung ähnlich wie bei physischen Produkten.

Ausnahmen und Anwendungsbereich: Wichtige Einschränkungen

Das Gesetz gilt nicht für:

• KI ausschließlich zu militärischen Zwecken
• Reine Forschungssysteme (die nicht auf den Markt gelangen)
• Private KI-Nutzung im persönlichen Bereich

Beachten Sie aber: Sobald Ihr KI-System kommerziell oder betrieblich eingesetzt wird, greift der AI Act – unabhängig davon, ob Sie ein Anbieter oder nur Nutzer sind.

Die Herausforderung besteht nun darin, diese abstrakten Anforderungen in konkrete Maßnahmen für Ihr Unternehmen zu übersetzen. Was bedeuten diese Regeln für typische KI-Anwendungen im Mittelstand? Das erfahren nächsten Blogbeitrag  zum Thema EU AI Act.

Oder sind Sie schon bereit? Dann kontaktieren Sie uns direkt für eine kostenlose Erstberatung oder laden Sie unsere EU-AI-Act-Checkliste herunter – Ihr Start in die Compliance kann schon heute beginnen!